Cloud9 s’est propagé le plus souvent, selon l’équipe de zLabs, par chargement latéral via de faux exécutables et des sites Web malveillants déguisés en mises à jour d’Adobe Flash Player. Il agit comme un cheval de Troie d’accès à distance (RAT) doté de nombreuses fonctionnalités.

Il existe deux variantes différentes de ce malware, une version originale et une version améliorée avec des capacités étendues et des corrections de bugs. Cette dernière permet :

– l’envoi de requêtes GET/POST, pouvant être utilisées pour obtenir des ressources malveillantes.

– le vol de cookies, pouvant compromettre les sessions des utilisateurs.

– le Keylogging, pouvant être utilisé pour voler des mots de passe, entre autres.

– l’attaque hybride couche 4 / couche 7, utilisée pour réaliser des attaques DDos depuis le PC de la victime.

– la détection du système d’exploitation et du navigateur

– l’ouverture de pop-unders, utilisés pour injecter des publicités.

– l’exécution de code JavaScript provenant d’autres sources, utilisé pour injecter davantage de code malveillant.

– le chargement silencieux de pages Web, utilisé pour injecter des publicités ou d’autres codes malveillants.

– le minage de crypto-monnaies sur le navigateur, pour utiliser les ressources de l’ordinateur de la victime afin de miner des crypto-monnaies.

– l’envoi d’un exploit de navigateur, utilisé pour prendre le contrôle de l’appareil en exécutant du code malveillant dans l’appareil.

Ce malware serait l’œuvre de Keksec, groupe de hackers connu pour ses malwares et ses botnets basés sur le DDOS et le minage. La première version publique de ce botnet JavaScript a été détectée en 2017, puis elle a été à nouveau mise à jour en 2020, et diffusée sous la forme d’un seul JavaScript pouvant être inclus sur n’importe quel site Web à l’aide de balises de script. Les serveurs de commande et de contrôle utilisés par le botnet Cloud9 Chrome visent des domaines qui ont été utilisés précédemment par le groupe de malwares Keksec.

Le botnet Cloud9 est vendu gratuitement ou pour quelques centaines de dollars sur différents forums de hackers. Comme il est assez simple à utiliser et disponible gratuitement, il peut être utilisé par de nombreux groupes de malware ou des particuliers.

Conçu pour cibler tous types d’utilisateurs, Cloud9 est donc une menace tant pour les entreprises que pour les particuliers. Les frappes de clavier peuvent contenir des informations sensibles sur un utilisateur comme les mots de passe et donc être exploitées pour accéder à des informations encore plus sensibles à son insu, telles que des données commerciales critiques, des données sur les clients, voire des données personnelles. La capacité de Cloud9 à installer des malwares supplémentaires sur la machine de la victime augmente le risque pour une entreprise, car il contourne les vecteurs d’attaque traditionnels généralement surveillés par les solutions de sécurité des endpoints.

Le nombre de victimes touchées par ce botnet est encore inconnu.